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(54) Procede de securisation du protocole CMIP 

(57) Procede de securisation d'une communication 
entre un element iogiciel initiateur et un element logiciel 
cible, la communication se composant d'une premiere 
etape dite d'association correspondant a remission du 
CMIS A-ASSOCIATE. et une seconde etape, dile d' ex- 
ploitation, correspondant a une succession d'emissions 
de CMIS, caracterisd en ce que : 

• le champ ACCESS CONTROL dudit element de 
service A-ASSOCIATE contient un certrficat decon- 



trol d'acces et une information de chrffrement. 
en ce que, pendant ladite etape d'explottation un 
moyen d'authentificalion est inclu dans le champ 
« EVENT INFORMATION »> pour .'element de servi- 
ce M-E VENT-REPORT, « USER INFORMATION » 
pour les elements de service A- RE LEASE et A- 
ABORT, et <« ACCESS CONTROL » pour les autres 
elements de service, 

et en ce que ('element de service M-CANCEL-GET 
est interdit. 
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Description 

[0001] Le domaine de la presente invention est celui 
de la gestion de reseaux, et notamment des reseaux de 
g est ion des telecommunications (RGT, ou TMN pour Te- 
tecommunica lion Management Network en ang lais). El- 
le conceme plus particulierement un procede de secu- 
risation d'une communication entre deux elements logi- 
dels, conforme a un protocole de gestion de reseaux 
de type CMIP (Common Management Information Pro- 
tocol en anglais). 

[0002] II existe plusieurs protocoles de gestion de re- 
seaux. dont deux principaux: SNMP et CMIP. SNMP 
[Simple Network Management Protocol) est historique- 
ment le premier a avoir vu le jour, et gere, principale- 
ment, des reseaux bases sur une architecture TCP/IP 
( Transport Control Protocol / Internet Protocol}. Son but 
n'etait a I'epoque que de proposer une solution provi- 
soire avant la conception d'un protocole plus complet, 
CMIP, se basant principalemenl sur le modele en cou- 
ches OS I (Open System interconnection) de II SO (In- 
ternationa/ Standard Organisation). 
[0003] Les nombreux avantages du protocole CMIP 
par rapport au protocole SNMP ont comme contrepartie 
une complexity et une lourdeur de mise en oeuvre qui 
font que seuls certains types de reseaux peuvent le sup- 
porter, et c'est notamment le cas des reseaux de gestion 
des telecommunications (RGT). 

[0004] En ce ref erant au modele en couches OSI , le 
protocole CMIP doit etre vu comme un protocole de la 
couche 7, c'est-a-dire de la couche appelee application. 
II est deTini par les recommandations X.71 0 a X.71 2 emi- 
ses par f ITU-T (international Telecommunication Union 
- Telecommunication standard support, c'est-a-dire I'an- 
cien CCITT, Comite Consultatif International de Tel6- 
graph ie et de Telephonie). 

[0005] Le but d'un protocole de gestion de reseaux tel 
CMIP est de transmettre des elements de service entre 
deux elements logiciels, par des messages appeies 
PDU (pour Protocol Data Unit en anglais). Habituel la- 
ment, I'emetteur du PDU est appele initiateur, et le re- 
cepteur est nomme cible. D'une faccn generate, ces ele- 
ments de services sont appetes CMIS pour Common 
Management Information Service. 
[0006] II existe plusieurs categories d'elements de 
service CMIS. Parmi ces categories, on peut citer : 

• les elements de service ACSE (pour Application 
Control Service Element en anglais), et 

• les elements de service CMISE (pour Common Ma- 
nagement Information Service Element en an- 
glais). 

[0007] Le but des elements de sen/ice de la categorie 
ACSE est de g6rer les associations entre des 6 laments 
logiciels. On peut notamment citer Tenement de service 
A-ASSOCIATE qui permet de cr6er une association en- 
tre re lament logiciel cibie et relement logiciel initiateur. 



L'element de service A-RE LEASE permet au contraire 
de romp re I "association entre les elements logiciels cible 
et initiateur. II existe un troisieme element de service, A- 
ABORT qui permet cfinterrompre une association en 

5 cas d 1 incident. 

[0008] Le but des elements de service de la categorie 
CMISE est de gerer les echanges d* information entre 
('element logiciel cible et relement logiciel initiateur. Les 
differents elements de service CMISE sont les suivants : 

to M-EVENT-REPORT, M-GET, M-CANCEL-GET, M-SET, 
M-ACTION. M-CREATE et M-DELETE. 
[0009] On peut decomposer une communication en- 
tre un element logiciel initiateur et un element logiciel 
cible en deux e tapes : une etape d' association durant 

r5 laquelle Finitiateur transmet a la cible un PDU contenant 
relement de service A-ASSOCIATE, et une etape d'ex- 
ploitation durant laquelle I'initiateur exploite I'associa- 
tion ainsi creee en echangeant des informations avec 
la cible. 

20 [0010] Afin d'obtenir da vantage de renseignements 
sur les differents elements de service CMISE, le iecteur 
peut se rap porter a la recommandation X.710 de I'lTU- 
T (pour International Telecommunication Union - Tele- 
communication standardization section, en anglais), in- 

2s tit u lee * Common Management Information Service de 
finition for CCITT Applications ». 

[0011] En ce qui conceme, tes elements de service 
ACSE, le Iecteur peut se rapporter a la recommandation 
X.217 de TITU-R, intitulee « Association Control Service 

30 de finition for CCITT applications ». 

[001 2] Que ce sort dans le cadre des reseaux de ges- 
tion des telecommunications (RGT), ou dans un cadre 
plus general des reseaux de trartement de F information 
de grande taille, il peut exister un besom de securisation 

35 des communications entre les differents Elements logi- 
ciels distribues sur un reseau vis-a-vis des differ antes 
menaces. 

[0013] Par exemple, dans le cadre des reseaux de 
gestion des telecommunication (RGT), il existe des 6I6- 

40 ments logiciels, appeies classiquement objets ger6s 
(MO pour Managed Object en anglais) Chacun de ces 
objets geres a pour but de gerer un equipement d*un 
reseau de telecommunication. Aussi, lorsqu'un objet ge- 
re recoit un message lui demandant d'eteindre I'equipe- 

45 ment dont il a la charge, il est important que cet objet 
gere* soit assure de la validite d'une telle requete, c'est- 
a-dire que I'objet gere doit dtre assure que i'objet qui a 
emis une telle requete a effectivement le droit de le faire. 
[001 4] La securisation des communications entre &le- 

so ments logiciels, notamment objets geres, au sein d'un 
environnement distribue, notamment un reseau de ges- 
tion des telecommunications (RGT), passe par la secu- 
risation du protocole de communication utilise. 
[001 5] Pour cela, chaque element de service compor- 

55 te un certrficat de contrdle d'acces, et est securise. Ce 
certrftcat peut comporter des informations sur les droits 
en acces dont dispose l'element initiateur vis-a-vis de 
relement cible (droit de consultation des donnees de 
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I'element cfcle, droit de modification, etc.). 
[0018} Ce certificat tfacces peut, par example, etre 
conforms a la norme ISO/IEC DIS 10181*3 « Informa- 
tion Technology - Security Frameworks in Open Sys- 
tems - Part 3 : Access Control », bien que de nombreu- 
ses a utres mises en oeuvre sont bien evkJemment pos- 
sibles. Dans le cadre de cette norme. le certificat de con- 
trdle d'acces (appele ACC pour Access Control Certifi- 
cate, en anglais), contient I'ensemble des droits affectes 
a Felement initiateur A, ce qui en pratique peut faire plu~ 
sieurs kilo-octets. 

[0017] On comprend que le fait d'alourdir chaque ele- 
ment de service d'un certificat de contrdle d'acces de 
plusieurs kilo-octets, represente un desavantage cer- 
tain en penalisant les communications entre les diffe- 
rents elements logiciels du system e. 
[0018] De plus, la prise en compte de ce certificat de 
contr6le d'acces par les elements logiciels engendre 
une augmentation significative du temps de traitement 
des messages par ces elements logiciels. 
[0019] Le but de la presente invention est done de 
proposer un precede de securisation d*une communica- 
tion conforme a un protocol e de type CM IP, entre deux 
elements logiciels au sein d'un environnement logiciel 
distribue, qui nc presente pas les inconvenients du pro- 
cede precedemment evoque. 

[0020] A eel effet, I'invention a pour objet un procede 
de securisation d'une communication, au sein d'un en- 
vironnement informatique distribue, entre un element lo- 
giciel appele initiateur et un autre element logiciel ap- 
pele cible, lad it e communication se composant d'une 
premiere etape dite d'association correspondent a 
remission de I'element de service A-ASSOCIATE au 
sens de la recommandation X.21 7 de I'lTU-T, et une se- 
conde etape, dite Sexploitation, correspondant a une 
succession d'emission d'elements de service au sens 
des recommandation X.710 ou X.21 7 de I'lTU-T. 
[0021] Ce precede se caracterise en ce que : 

• le champ ACCESS CONTROL de ('element de ser- 
vice A-ASSOCIATE contient un certificat de contro- 
ls d'acces et une information de chrffrement, 

• en ce que, pendant I'etape Sexploitation, un moyen 
d'authentification est inclu dans le champ « EVENT 
INFORMATION » pour I'element de service M- 
EVENT-REPORT. « USER INFORMATION » pour 
les elements de service A-RE LEASE et A- ABORT, 
el « ACCESS CONTROL » pour les autres ele- 
ments de service, 

• et en ce que I'eJement de service M-CANCEL-GET 
est interdit. 

[0022] L'invention et ses avantages apparaitront dc 
facon plus claire dans la description qui va suivre en re- 
lation avec la figure unique jointe qui illustre une mise 
en oeuvre particuliere de I' invention, comportant un ser- 
veur d'acces. 

[0023] Dans cette mise en oeuvre, Pelament logiciel 



4 

initiateur A demands dans un premier temps (reference 
1 de la figure unique) un certificat de contrdle d'acces a 
un serveur d'acces S. Dans un second temps (2). le ser- 
veur d'acces S emet le certificat de contrdle d'acces a 
s destination de I'element initiateur A. 

[0024] Comme cfit precedemment, ce certificat de 
contrdle d'acces peut, par example, etre conforms a la 
norme ISO/IEC DIS 10181-3 « Information Technology 
- Security Frameworks in Open Systems - Part 3 : Ac- 
10 cess Control ». 

[0025] Dans un troisieme temps, I'element inititateur 
A cree alors un PDU qui est transmis vers I'element cible 
B (reference 3 sur la figure 1 ). Ce premier PDU vehicule 
un element de service de type A-ASSOCIATE. creant 
75 une association entre I'element initiateur A et I'element 
cible B. II peut contenir trois types de donnees: 

• des donnees propres a la creation de ('association 
(e'est-a-dire des parametres de I'element de servi- 

20 ce A-ASSOCIATE tels que definis dans le docu- 
ment X.21 7 mentionn6 ci-dessus), 

• le certificat de contrdle d'acces (pouvant etre con- 
forme a la norme ISO/IEC DIS 101181 -3, ainsi qu'il 
est precise ci-dessus) protege en integrite, et 

25 • une information de chiff remcnt, protegee en integri- 
te et confidential its. 

[0026] Cette information de chiff rement sera utilisee 
urterieurement pendant la phase Sexploitation pourper- 

30 mettre aux deux elements logiciels de sceller ou signer 
des messages, voire de les chiffrer si necessaire. 
[0027] Des exemples de telles informations de chif- 
frement sont la cle publique certifiee de I'element initia- 
teur, ou encore une cle secrete de session protegee en 

3s confidential it e et en integrite. 

[0028] L' information de chiff rement ainsi que I e certi- 
ficat de contrdle d'acces sont contenus dans (e champ 
ACCESS CONTROL de ('element de service A-ASSO- 
CIATE, qui peut par ai I leurs comport erd'a litres informa- 

40 tions propres a cet element de service. 

[0029] La reference 4 de la figure unique represente 
la phase dite d'exploitation du precede selon l'invention. 
[0030] Pendant cette phase, seules sont transmtses : 

45 • ies donnSes propres aux elements de service vehi- 
cles. 

• Une signature ou un sceau, correspondant a F infor- 
mation de ch iff rement transmis lors de I'etape pre- 
cedente (e'est-a-dire tors de la phase d'assccia- 

so tion). 

[0031] II est a noter que ces PDU peuvent trans iter 
sort dc i'element initiateur vers I'element cible. soit de 
I'element cible vers I 'element initiateur. 
ss [0032] II est aussi a noter qu' en plus des informations 
propres a i'element de service vehicule parle PDU, seu- 
le la signature ou le sceau est transmis pendant la phase 
d'explortation. Cette information etant beaucoup moins 
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volumineuse que le certificat de contrdte d'acces .on 
comprend done que le gain en terme da taiDa des .PDU 
est extremement important, ce qui se repercute sur les 
performances globales du systeme. 
[0033] On comprend aussi que ('element cible ayant 5 
recu le certificat de contr6ie cfacces brs de la phase 
dissociation, est en possession de ces informations et 
n'a done plus besoin de les recevoir. Le besoin est uni- 
que ment une authentication de I'origine des messa- 
ges, e'est-a-dire que l'element logiciel cible doit pouvotr 10 
etre sur que I'emetteur du PDU est bien l'element initia- 
teur de I'association. 

[0034] Ce but est atteint par la signature ou le sceau, 
base sur reformation de chiffremenl qui est transmise 
pour chaque PDU pendant la phase d'exploitation. rs 
[0035] Cette signature ou ce sceau est in sere dans 
un des champs libres des PDU, tels que definis par les 
recommandations ITU-T. 

[0036] Ainsi. pour les elements de service, A-RE- 
LEASE et A- ABORT, le champ « USER INFORMA- 20 
TION » est utilise. Pour les elements de service, M-GET, 
M-SET, M-ACTION, M-CREATE et M-DELETE, le 
champ « ACCESS CONTROL » est utilise. Pour Tele- 
ment de service, M-EVENT-REPORT, le champ 
- EVENT INFORMATION » est utilis6. 25 
[0037] L'element de service M-CANCE L-G ET ne pos- 
sede pas de champ susceptible d'etre utilise pour vehi- 
cular un moyen d'authenttfication de type signature ou 
sceau. 

[0038] Aussi, salon une mise en oeuvre particultere. 30 
une action peut etre creee au niveau de l'element logi- 
ciel cible, dont la fonction est la me me que celle de M- 
CANC EL-GET. 

[0039] Ainsi, ('utilisation de l'element de service M- 
CANCEL-GET peut etre interdite et remplacee par I'uti- ss 
lisation d'un element de service M-ACTION comportant 
comme parametres : 

• ceux qui auraient ete vehicules par M -CANCEL- 
GET, et reformation de chiffrement *o 

• une information indiquant que Taction a effectuer 
correspond a M-CANCE L-G ET, 

• et une information de chiffrement. 

[0040] Les techniques permettant le codage, le chif- *5 
f rement ou le cryptage des informations contenues dans 
les PDU sont des techniques classiques connues de 
1'homme du metier. Pour davantagede precisions, celui- 
ci peut consulter les nombreux ouvrages concernant le 
domaine, par exemple, « Data <S computer security : die- so 
tionnary of standards concepts and terms » de Dennis 
Longley & Michael Shain. 

[0041] En fonction dc la technique utilise©, on peut 
deduire plusteurs mises en oeuvre parttculiere de I' in- 
vention. Deux exemples particuliers vont etre mainte- ss 
nant decrits. 

[0042] Dans le cas d'une technique de type asymetri- 
que. les differents elements logiciels impliques (A, B et 
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S) possedent des cles publiques et des cles privees. 
Conformement au vocabulaire usuel, la de publique 
cf un element est connue de tout le systeme, tandis que 
la cle privee d'un element n'est connu que de celui-ci. 
[0043] Conformement au precede general precedem- 
ment decrrt, l'element logiciel rnittateur A demande dans 
un premier temps un certificat de contrdle d'acces a un 
serveur de droit cfacces S. 

[0044] Dans un second temps (2), le serveur S envoie 
a Pinitiateur A, un certificat de contrdle d'acces signe 
avec sa cle privee. 

[0045] Ensuite. rinitiateur A fabrique un jet on 
contenant : 

• le certificat de contrdle d'acces foumit par le serveur 

S, 

• reformation de chiffrement qui sera utilisee pour les 
etapes suivantes, e'est-a-dire, dans cette mise en 
oeuvre. la cle publique de A. 

Cetle information de chiffremenl est chiffree 
avec la cle publique de B, ce qui assure que seul, 
le detenteur de la cle privee de B pourra dechiffrer 
cette information. 

• la signature de la requete (champ - ACCESS CON- 
TROL » non compris), signee avec la cle privee de 
A, afin de protege r Pensemble de I'information com- 
prise dans ('element de service. 

Ce jeton est lui meme signe avec la cle privee de A. 

[0046] Enfin. I'initiateur insert ce jeton dans le champ 
« ACCESS CONTROL » de l'element de service A-AS- 
SOCI ATE, et cree le PDU qui esttransmis vers l'element 
cible (reference 3 de la figure unique). 
[0047] L'element cible B recoit la demande dissocia- 
tion et extrait l'element contenu dans le champ ACCESS 
CONTROLde l'element de service A-ASSOCIATE, puis 
effectue les contrdles suivants : 

• dech iff rement de I'information de chiffrement qui 
sera utilise pour les echanges suivants, en utilisant 
la cle privee de B. 

• verification de la signature de la requdte (hors 
champ ACCESS CONTROL), avec la cle publique 
de A, ce qui garantrt I'integrite de la requete (hors 
champ ACCESS CONTROL) et son origine. 

• verification de la signature de l'element extrait du 
champ access -control, avec la cle publique de A, 
ce qui garantil rintegrite du contenu du champ AC- 
CESS CONTROL et son origine, 

• extraction du certificat de contrdle d'acces et verifi- 
cation de sa signature avec la cle publique de S (ce 
qui garantrt son authenticity et son origine), 

[0048] A partir de ce moment, I'initiateur A et la cible 
B partagent tous les deux la meme information de chif- 
frement (tci la cle publique de A) qui sera utilisee pour 
sec u riser les echanges suivants. 
[0049] Dans le cas d'une technique de type symetri- 
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que, le serveur (faeces S a aussi un role de serveur de 
cle. II possede une cle privee connue de lui seul, ainsi 
qu'une cle publique. connue du systeme, et done, no- 
tamment des elements logiciels A et B. 
[0050] Par aiQeurs, A et S cfune part, et B et S d'autre 
part partagent une cle secrete. 

[0051] Comma precedemment, l'element logiciel ini- 
tiate ur A demande dans un premier temps un certificat 
de controle d'acces a un serveur de droit d'acces S. 
[0052] Dans un second temps (2), le serveur S envoie 
a I'initiateur A. un certificat de contr6le d'acces, signe 
avec sa cle privee. ainsi qu'une cle de session. 
[0053] Ensuite, I'initiateur A fabrique un jeton 
contenant : 

• le certificat de contr6le d'acces tourni par le serveur 
S. 

• reformation de chrffrement. Dans cet exemple, il 
s'agit d'une cle secrete (symetrique) qui ne sera uti- 
lisee que durant ('association. 

Elle est chiffree avec la cle partagee entre le 
serveur de cles et B, ce qui garantit que seul fer- 
ment cible B pourra la lire. 

le scellement de la requete (champ ACCESS CON- 
TROL non compris), avec la cle de session que se 
partagent les elements A et B, afin de proteger I' en- 
semble de I'information comprise dans la requete. 

[0054] Ce jeton est lui meme scelle avec la cle de ses- 
sion que se partagent les elements A et B. 
[0055] Enfin I'initiateur insert ce jeton dans le champ 
ACCESS CONTROL de l'element de service A-ASSO- 
CIATE, et cree le PDU qui est transmis vers Tenement 
cible B. 

[0056] L'element cible B recoit la demande d'associa- 
tion et extrait I'element contenu dans le champs AC- 
CESS CONTROL de l'element de service A-ASSOCIA- 
TE, puis effectue les contr6les suivants : 

• extraction et dechiffrement de reformation de chif- 
f foment qui sera utilise pour les echanges suivants, 
en utilisant la cle secrete que se partagent B et le 
serveur de cle S, 

• verification du scellement de l'element de service 
(hors champ ACCESS CONTROL), avec la cle se- 
crete de session, ce qui garantit I'integrite de cet 
element de service (hors champ ACCESS CON- 
TROL) et son origine. 

• verification du scellement de l'element extrait du 
champ ACCESS CONTROL, avec la cle secrete de 
session, ce qui garantit I'integrite du contenu du 
champ ACCESS CONTROL et son origine, 

• extraction du certificat de contrdle d'acces et verifi- 
cation de sa signature avec la cle publique de S (ce 
qui garantit son authenticity et son origine). 

[0057] Dorenavant, i'initiateur A et la cible B partagent 
tous les deux la meme information dechiffrement (la cle 



de session), qui sera utilises pour sec u riser les echan- 
ges suivants (e'est-a-dire pendant la phase d'exploita- 
tion). 



Revindications 

1. Precede de securisation d'une communication, au 
sein cfun environnement informatique distribue, en- 

io tre un element logiciel appele initiateur et un autre 
element logiciel appele cible, ladite communication 
se composant d'une premiere etape dite d'assocta- 
tion correspondant a remission de l'element de ser- 
vice A-ASSOCIATE au sens de la recommandation 

is X.217 de I'lTU-T, et une seconde etape, dite d'ex- 
ploitation, correspondant a une succession cfemis- 
sion d'elements de service au sens des recomman- 
dation X.710 ou X.217 de HTU-T, caracterise en ce 
que 

20 

• le champ ACCESS CONTROL dudit element 
de service A-ASSOCIATE contient un certificat 
de contrdle d'acces et une information de chif- 
frement 

2S • en ce que, pendant ladite etape d'explottation 
un moyen d'authentification est inclu dans le 
champ « EVENT INFORMATION » pour l'ele- 
ment de service M- EVE NT-RE PORT, « USER 
INFORMATION » pour les elements de sen/ice 

30 A-RE LEASE et A-ABORT, et «ACCESS CON- 

TROL" pour les autres elements de service, 

• et en ce que l'element de service M-CANCEL- 
GET est interdit. 

35 2. Precede selon la revendication precedent, caracte- 
rise en ce que ledit moyen de securisation est cons- 
titue cfune signature ou d'un sceau d'une partie du 
contenu desdits elements de service, par ladite in- 
formation de chiffrement. 



40 



45 



SO 



3. Precede selon I'une des revendications preceden- 
tes, caracterise en ce que lesdites donnees d'acces 
sont foumies par un serveur d'acces. 

4. Precede selon la revendication precedent e, carac- 
terise en ce que ledit serveur d'acces est conforme 
a la norme ISO/IEC DIS 10181-3. 

5. Precede selon Tune des revendications preceden- 
tes, caracterise en ce que l'element logiciel cible 
comporte une action ayant la meme fonction que 
l'element de service M-CANCEL-GET. 
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